Voilà qui devrait réveiller de mauvais souvenirs : un nouveau ransomware creuse son nid en Russie et en Ukraine. Mais si certaines caractéristiques de BadRabbit rappellent Petya et NotPetya, ce ransomware reste bien en dessous des deux cas susmentionnés en termes de portée et de sophistication.
Alerte au ransomware à l’Est. Un petit nouveau, répondant au doux nom de BadRabbit, s’attaquent aux entreprises et institutions principalement en Russie, en Ukraine et en Bulgarie. La campagne d’infection a vraisemblablement débuté hier matin. L’aéroport d’Odessa, le métro de Kiev ainsi que plusieurs agences de presse russes, dont Interfax, sont affectés.
BadRabbit utiliserait des sites d’informations (ESET en a publié la liste) compromis pour se propager. Leurs visiteurs, croyant mettre manuellement à jour Flash Player, installent le malware. Celui-ci utilise, comme NotPetya, le programme Mimikatz pour extraire les informations d'identification des systèmes affectés afin de se propager. Qui sont ensuite chiffrées, le malware utilisant une variante de l’utilitaire DiskCryptor pour ce faire.
Le message affiché sur les terminaux infectés n’est pas sans rappeler ExPetr. Les pirates réclament de leur victime 0,05 bitcoin, rançon qui augmente passé un compte à rebours. ESET estime qu’il s’agit d’une nouvelle variante de Petya, baptisée Diskover.D. Kaspersky, pour sa part, reste prudent parle d’un nouveau type de ransomware, tout en notant des « méthodes similaires à celles utilisées lors de l’attaque ExPetr ».
Peu sophistiqué
Mais, contrairement à NotPetya, BadRabbit ne détruit pas les fichiers chiffrés et permet de les déchiffrer une fois la clé obtenue, selon Kaspersky. ESET ajoute que le ransomware n’exploite pas la vulnérabilité EthernalBlue comme le faisait NotPetya. Nous sommes donc très loin de la complexité des campagnes de diffusion Petya et Not Petya.
ESET explique avoir détecté quelques centaines de cas. 65% des victimes recensées sont localisées en Russie, 12% en Ukraine et 10 en Bulgarie. Enfin, Kasperksy a remarqué que les personnes derrière ce malware semblent être des amateurs de Game of Thrones : ils ont glissé des noms de personnages et de dragons dans leur code.